科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道安全管理赵粮:云安全联盟里的点点滴滴

赵粮:云安全联盟里的点点滴滴

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

云安全联盟,虽然是一个新成立不久的机构,但目前已经成为全球云计算安全的核心力量。9月2日,云安全联盟论坛在北京举行,这也意味着,中国也有了一个纯技术的云安全讨论论坛。在本次论坛上,绿盟科技首席战略官赵粮为我们介绍了云安全联盟的运作机制以及其项目组织方法。

作者:ZDNet安全频道 来源:ZDNet安全频道【原创】 2010年9月10日

关键字: CSA 云安全联盟

  • 评论
  • 分享微博
  • 分享邮件

  云安全联盟,虽然是一个新成立不久的机构,但目前已经成为全球云计算安全的核心力量。9月2日,云安全联盟论坛在北京举行,这也意味着,中国也有了一个纯技术的云安全讨论论坛。在本次论坛上,绿盟科技首席战略官赵粮为我们介绍了云安全联盟的运作机制以及其项目组织方法。

  赵粮的演讲内容:

  看到这么多朋友在这里,非常感动,今天我很荣幸成为最后一个演讲者,坦白说压力很大,前面几位讲的太好了,我个人学到了很多东西,我争取讲的好一些。

  我4月份的时候做了一个演讲,当时讲到要成立一个云安全联盟的峰会,希望大家更多的跨地区、跨行业的分享、沟通、开发。我们需要更开放的心态,加强分享的心态,大家坐在一起会更安全。没想到四个月之后,我们就可以坐在一起,一起畅谈关于云计算、云安全的感想,非常激动。

  在7月份汇报当中,跟大家汇报关于云安全联盟发布的云安全指南的13个域,它有几个组成部分。这是今年CSA发布的云计算面临的安全威胁,这里讲到七个最大威胁,第一个是涉及到云计算的滥用问题。4月份我讲用人计算、云计算结合做大规模的垃圾邮件的发布,如果云计算作为这么强大的系统,如果不加以控制就会变成洪水,非常的不可设想。我们今天很高兴看到,中国电信、中国移动的专家讲到设计和考虑云的时候已经有非常多的安全控制在里面。不安全的接口和API,怎么保证API是好的,传统网管、扫描器解决不了的。下面还有内部员工、数据泄露、帐号和服务劫持、位置的风险场景问题等。

  在4月份演讲中,最后给大家汇报的题目是做了七个推荐,我最后讲到几个研究项目当中,这是一个雏形,大家不是很容易使用它,因为措词问题、排列问题都不是很容易跟实际技术、产品做影射,所以当时想到需要一项任务,把很多语言控制措施列出来,跟我们实际运用的技术做一个影射,这是当时的想法,这个想法后面会继续提到。

  回到今天的话题,从我个人理解,从我们研究小组的理解,怎么看CSA做的这些工作,它是什么组织,他们怎么参与。CSA有几个企业创立员,CSA也有很多个人成员。这个是CSA正在进行的研究项目。云计算我们可以从三个层次考虑它,第一从一般的个人用户考虑它,第一反映的是你是不是考虑了安全措施,这是第一层面防护。做好这个问题之后,第二个层面是一般性企业在采用云计算的时候,考虑怎么度量你的安全,这是安全度量问题,这个问题是非常热的话题,我不知道大家是不是关注这个话题很长时间,我自己在做安全总结运营的时候遇到这个问题。如果把这个动作进行也的时候,云计算怎么把自己的安全呈现出来。这是第二层面,其实如果到度量、计费这个层面,再往上是国家和关键研究室层面,不是钱可以解决的了的,这是一个保证问题,怎么让别人相信你有能力满足SLA。一开始这是我参与的一项目,因为你说的东西我不一定信,所以CSA才有了这个研究项目。这是CSA的Working Groups,非常开放的组织,如果大家感兴趣可以直接参与。

  现在讲讲什么是GCC,第一个我们理解Greater是一个技术小组,是在中国地区的。第二是我们欢迎全球讲汉语的,北京最多,上海也有,另外是在硅谷,当然香港、新加坡也会有。第三个目标是说我们希望把我们的观察、知识,让我们的国际同行也都知道。简单讲一下CSA的理事会,下面有各个地区、各个地域的分会,有自己的企业成员、技术委员会、Working Groups。这是我们兴趣小组的几位理事成员,还有一位理事在新加坡,我拿到了他的视频,我们看看他会跟我们说些什么。

  (播放VCR)

  他是负责安全服务的专家,有很多国际运营的经验,也是ISO的专家,他帮我们在新加坡地区包括香港地区和台湾,帮我们做很多这方面的工作。后面我们的活动还会到香港、台湾这些地区,大家坐在一起,增加覆盖面。我们这个小组还非常小,非常欢迎也非常希望得到在座各位支持、参与、加入、资助、指导。在小组下还有一些经常性活动,像今天这样的活动,我们每年会有一次大会,每个月会有远程电话会议,我们还会继续在上海、广州、香港各个地区举办技术沙龙活动,创造更多的机会,大家坐在一起讨论关于云计算、云安全,更好的开放、分享。

  这个话题跟研究项目有一些相关,除了大家坐在一起交流,我们还希望使大家在某些点方面获得更多的成果输出,希望分享我们中国地区的经验。这里有一个项目启动书。

  简单总结一下后面12个月里,我们确立了兴趣小组工作目标,第一我们会确立研究项目,确立项目小组,把项目做完,把成果分享给大家,让大家使用。再下面我们会在若干城市开展活动,欢迎大家提建议。第三我们希望有更多的朋友加入进来,扩大我们对云安全的影响,让他们把不安全、不确定性的东西消除掉,大家更加相信中国电信、中国移动、盛大这样的云提供商,更好的提供服务。后面我们还会继续努力,让这样的操作更加成熟,更好的组织大家这样的活动。

  刚才看到CSA有若干个研究项目,我们希望组织大家不停的引入到中国的社区中,方便大家使用。讲一下我个人的观察,CSA的研究可能不是很容易使用,不是很适合亚太地区的安全实践,这说明我们要组织我们自己的力量,做不光是翻译,而是落地的东西,适合中国自己的版本。第二个项目,我们想吸取精髓,同时发展我们自己更好的实践写下来。第三个项目,收集、研究、汇编、分享,这是几个关健词,这是我们非常好的实践,我们为什么不把这么好的实践写下来、分析、汇编起来,让我们的国际同行也了解到我们这个地区正在进行中的事情。这个项目下,我们欢迎大家跟我们分享,希望更多的朋友敞开胸怀,我们组织兴趣小组,和大家一起分析问题。第四个研究课题,在云计算采用的时候,除了安全保护之外,大家非常关心SLA的问题,事实上虽然SLA解决不了所有问题,但最好有它。安全事件度量怎么写呢?这是很棘手的问题,我们也希望和各位探讨,哪些是大家认可的。如果是补丁问题,多长时间打呢?这个数据又是什么,我们希望跟大家一起做一个SLA的选择。这是我们小组设想中计划中的几个项目,非常欢迎大家继续提建议,参加这样的项目。

  下面是第五个项目,我们和CSA日本分会,在日本J-SOX有一个想法,我们有幸请到日本分会理事。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章